Російські хакери Star Blizzard викрадали акаунти у WhatsApp, прикриваючись підтримкою Україні — як працювала їхня схема

Російські хакери Star Blizzard змінили тактику, націлившись на акаунти у WhatsApp. Вони розсилали фішингові емейли із закликом долучитися до групи з підтримки українських неурядових організацій, а потім крали акаунт жертв. Про це пише Microsoft.

Star Blizzard запустили нову хакерську атаку в листопаді торік. Від імені нібито посадовця США вони розсилали електронні листи із пропозицією приєднатися до групи у WhatsApp, яка підтримує ініціативи для українських неурядових організацій.

Зображення Microsoft

У лист додавали QR-код, який мав приєднати до групи. Проте його спеціально робили несправним, щоб змусити жертву відповісти на лист.

Отримавши відповідь, злочинці надсилали посилання на вебсторінку. На ній також був QR-код, якій нібито мав направити людину в обіцяну групу. Але насправді він використовується для підключення чужого акаунта WhatsApp до іншого пристрою або до WhatsApp Web.

Зображення Microsoft

Так хакери отримують доступ до акаунта жертви та її даних. У Microsoft не кажуть, наскільки ефективною була ця кібератака та чи були їхні спроби вдалими.

Що відомо про Star Blizzard

Російське хакерське угрупування пов’язують із федеральною службою безпеки рф. В Агенстві з кібербезпеки та безпеки інфраструктури США (CISA) зазначають, що вони також відомі, як: SEABORGIUM, Callisto Group, TA446, COLDRIVER, TAG-53, BlueCharlie.

Найчастіше мішенями Star Blizzard стають урядовці та дипломати (як чинні, так і колишні), дослідники оборонної політики та міжнародних відносин, чия робота пов’язана з росією, а також джерела допомоги Україні у зв’язку з війною з росією.

Microsoft пише, що ці хакери в період з січня 2023 року по серпень 2024 року атакували десятки організацій: журналістів, аналітичні центри та неурядові організації. З 3 жовтня 2024 року корпорація Microsoft і Мін’юст США вилучили або закрили понад 180 сайтів, пов’язаних з їхньою роботою.

«Хоча ці скоординовані дії мали короткостроковий вплив на фішингові операції Star Blizzard, ми відзначили, що після викриття активної інфраструктури цього суб’єкта загрози вони швидко перейшли на нові домени для продовження своєї діяльності, що свідчить про високу стійкість цього суб’єкта загрози до операційних збоїв», — кажуть у технокомпанії.

Нагадаємо, 19 грудня 2024 року українські держреєстри  зазнали наймасштабнішої зовнішньої кібератаки. Фахівці з кібербезпеки пояснили AIN.UA, чому це сталося та як зберегти інші системи.